这可能是个显而易见的问题,但是许多公司却忽视了这样一个事实,即他们无法保护那些他们甚至不知道的事物。
有效的网络安全存在一个简单的事实:你无法保护自己看不到的东西。全面的可视性是塑造良好安全性的基础——而且实现起来正变得越来越困难。其最终目标是建立一个旨在通过为 IT、安全性和合规性提供单一信息源来简化安全性的平台。
现代 IT 环境带来了许多挑战。随着公司向云端迁移,大多数情况下的结果是造就了一个混合环境,其包括内部部署和云资源——有时还散落着多云 (multicloud) 环境。与此同时,网络边界也已经变得毫无意义,网络 “内部” 和 “外部” 的界限已经日渐模糊。物联网设备的爆炸式增长,移动设备的使用以及 DevOps 和容器的兴起,都意味着连接到网络的资源数量正呈指数级增长。而 IT 环境不断扩大和变化所导致的结果就是缺乏凝聚力。
工具的大杂烩造成了有关关键信息的视图出现了零散、孤立的现象。对于许多组织而言,实现某种 “完全” 可见性的唯一方法,就是通过组合和关联来自各种工具的数据这种毫无效率的手动操作。一方面,手动操作既耗时又不准确,并且随着环境的快速变化会被迅速地淘汰。另一方面,手动操作也是低效的,因为它通过利用训练有素的IT和安全工程人员来执行琐碎的任务,而不是让他们将技能集中在执行项目并做出更好的业务决策方面。
要开始解决该问题,您必须首先了解 IT 资产数据的三个挑战:Volume(数据量大)、Velocity(处理速度快)以及variance(不一致)。
混合 IT 环境具有波动性和动态性的特征。连接到你网络中的托管和非托管设备数量随时都可能是庞大的。这些环境正在以前所未有的速度不断变化——软件升级和配置更改,容器和虚拟机也正随着这种趋势不断变化。
也许最大的挑战还是不一致 (variance) 的问题。相同的数据点可以以不同的方式或不同的名称被引入到不同的产品和服务中。随着技术提供商不断进行兼并和收购,新工具和平台被集成到一起,想要将所有IT资产数据关联在一起可能会十分复杂。
处理 IT 数据的数量、速度和不一致等问题可能会迅速变得无法应对。尝试在少数时间收集部分数据的遗留工具无法提供有效安全架构框架所需的基础。
美国国防部监察长于 2018 年 7 月发布的一份报告发现,三个军事分支机构的任何部门都不具备有关其软件的准确清单。他们在内部网络的可见性方面都存在差距——这将导致各种负面后果,例如软件未得到充分利用,过时的软件会产生安全风险,正在购买重复或冗余的应用程序,而且,可能最重要的是,无法识别或修复漏洞或准确评估组织安全状况。
有效的 IT 资产管理的重要性的一个案例就是 2017 年 5 月的 Wannacry 勒索软件攻击事件。微软在 2017 年 3 月发布了一个关键补丁,用于阻止系统受到攻击,但是当时仍有 150 个国家的近 25 万个系统被勒索软件命中瘫痪。在许多情况下,令组织感到猝不及防的原因是,勒索软件破坏了他们甚至不知道存在于他们网络上的易受攻击的系统,这些系统主要是报废系统和未经授权的软件等等。
你很可能拥有所需的所有数据——你只需要一种有效的方法从公司的各个方面提取数据以有效地利用它们。你需要能够实时监控和更新资产清单,并使用上下文对其进行标准化、分类和丰富,以确保其相关性和准确性。与 CMDB(配置管理数据库)和服务工单系统无缝集成以便纠正和解决任何问题同样十分重要。
准确的 IT 资产管理对于合规性也很重要。你不能声称自己正在采取合理措施来保护你甚至不知道的资产或数据。
互联网安全中心 (CIS) 开始发布其 “20 项关键安全控制控件” 的原因就是始于下述两个问题:
CIS 估计,如果企业组织应用上述两个控件,以及接下来的三个控件(移动设备、笔记本电脑、工作站和服务器上的硬件和软件的安全配置;连续的漏洞评估和修复;以及管理权限的控制使用),那么他们将可以削减高达 85% 的网络攻击风险。
有效的网络安全和合规性对于世界各地各行各业各种规模的组织而言,都是必不可少的。企业必须以有别于传统方式的方式来审视资产,以应对不断变化的威胁形势,并鼓励 DevOps 和网络安全团队之间的合作与协作。可见性正变得越来越重要,IT 资产管理的单一信息源对于简化和精简安全性和合规性至关重要。
https://media.defense.gov/2018/Dec/18/2002073971/-1/-1/1/DODIG-2019-037.PDF
CS·11:从5个方案看信息资产安全管理的价值